一、下載安裝OSSIM
OSSIM 是一款開源的安全管理平台,百度有其簡介,但是中文的資料就比較少了,建議想深入研究的還是上其官網查看
1、在官網上可以下載最新的iso安裝,網址:https://www.alienvault.com/open-threat-exchange/projects
2、目前最新的應該是4.13,跟以前的版本相比,安裝都是差不多的,網上也有詳細的圖文介紹,這里就不多說了
3、安裝時,需要配置ip、用戶名、密碼之類的需要記錄下來,便於后面使用
二、OSSIM 安裝之后的簡單使用
1、裝好之后,chrome 輸入安裝時配置好的ip地址,進入登錄頁面,輸入用戶名和密碼。
2、4.13版本同之前的版本頁面發生了很大變化,第一次登錄頁面時會彈出來一些配置頁面,比如添加網絡、選擇主機安裝HIDS等。
3、默認的網段是你配置的ip所屬的網段,OSSIM集成了豐富的插件,像snort、nmap等。此時這些插件就會發揮左右,它們會掃描該網段內所有活動的主機,添加到資產列表中。之后從這些活動的主機上搜集事件進行處理
4、OSSIM比較核心的是其強大的關聯算法,交叉關聯(cross correlation) 和 規則關聯(directives correlation),這些需要龐大的數據庫的支持,在web頁面的CONFIGURATION下的THREAT INTELLIGENCE選項頁面可以看到相關的數據源
5、OSSIM對接收到的事件以及事件處理之后的結果有好幾種展示方法,比如表盤、列表、可下載的報表等。結果也分成好幾類,
比如按產品類型、按數據源、按攻擊類別分類等。這些都可以一一在web頁面上查看到
三、OSSIM控制台使用
如果要對其進行進一步的了解,則需要學會使用OSSIM的控制台。
1、使用SSH連接安裝OSSIM 的虛擬機時,便會進入其控制台界面。界面一共有0~7個選項
0 System Preferences
1 Configure Sensor
2 Maintenance & Troubleshooting
3 Jailbreak System
4 About this Installation
5 Reboot Appliance
6 Shutdown Appliance
7 Apply all Changes
2、選擇1 可以進入Sensor配置界面,這里可配置網絡探測器,以及OSSIM豐富的插件,如果更新了配置,需要Apply all Changes。OSSIM 默認安裝的插件不多,主要有sudo,ssh,iptables,syslog,dhcp,ossec,rrd,snort.snare等
3、選擇3后選擇OK可以進入OSSIM 的Shell界面,進入這里之后就能更加直接的看到其內部的數據了。
4、在/etc/ossim 目錄下可以看到OSSIM agent以及server的一些配置文件,cat ossim_setup.conf ,里面有配置的基本信息,包括,dns、ip、database 的用戶名、密碼,framework,ha,snmp,vpn的狀態信息等。
5、OSSIM默認安裝本身就具備一些安全防護和權限設置,如果你想獲取里面的文件或者數據庫表,需要取消插件中的iptables。並且使用ftp被動模式。